CIWZ Academy

Legal Notice & GDPR

IT/EN — Last update: January 2026
Indice
  • 1) Oggetto e accettazione
  • 2) Natura del servizio e limiti
  • 3) Account, autenticazione e sicurezza
  • 4) Integrità dei test e correttezza
  • 5) Certificati, risultati e verifica
  • 6) Proprietà intellettuale
  • 7) Esclusione di garanzie e limitazione di responsabilità
  • 8) Link esterni
  • 9) Trattamento dei dati personali (GDPR) — Sezione estesa
  • 10) Legge applicabile e foro competente
  • 11) Aggiornamenti

1) Oggetto e accettazione

Il presente documento (“Note legali”) disciplina l’accesso e l’uso di CIWZ Academy (la “Piattaforma”), inclusi contenuti, funzionalità, test online, visualizzazione risultati, eventuale generazione di attestati/certificati e strumenti di verifica. Accedendo o utilizzando la Piattaforma, l’utente dichiara di aver letto e compreso le presenti Note legali e di accettarle nei limiti consentiti dalla legge. Qualora l’utente non intenda accettare tali condizioni, è invitato a non utilizzare la Piattaforma.

2) Natura del servizio e limiti

La Piattaforma è progettata per la misurazione e l’autovalutazione (o valutazione strutturata) delle competenze su standard, schemi e temi di audit e sistemi di gestione. I test non sostituiscono la formazione in aula, l’esperienza pratica, l’abilitazione professionale o i requisiti formali previsti da schemi regolamentati. Eventuali risultati e/o attestati riflettono l’esito del test svolto in Piattaforma secondo le regole indicate e non costituiscono, di per sé, autorizzazioni, licenze o abilitazioni professionali.

3) Account, autenticazione e sicurezza

Per accedere ai servizi può essere richiesto un account e la verifica dell’indirizzo email. La Piattaforma può prevedere misure di sicurezza come autenticazione a due fattori (2FA), limitazione tentativi, logging di sicurezza e controlli anti-abuso. L’utente è responsabile della riservatezza delle credenziali e dell’uso del proprio account; in caso di sospetto uso improprio o compromissione, deve attivarsi tempestivamente per la protezione dell’account (ad esempio reset credenziali) e/o contattare l’assistenza tramite i canali ufficiali.

4) Integrità dei test e correttezza

Per proteggere l’affidabilità dei risultati e prevenire comportamenti abusivi, la Piattaforma può utilizzare meccanismi di integrità d’esame (ad esempio randomizzazione domande/risposte, tracciamenti tecnici anti-cheat, controllo dei tentativi e sistemi di prevenzione frodi). Qualsiasi tentativo di elusione o manipolazione può comportare misure correttive, inclusa la sospensione o chiusura dell’account e l’annullamento dei risultati, nei limiti consentiti dalla legge e dai Termini e condizioni.

5) Certificati, risultati e verifica

Ove attivata, la generazione di un certificato/attestato può essere subordinata al raggiungimento di una soglia di punteggio e al rispetto delle regole di utilizzo. La verifica online (tramite codice e/o QR) è uno strumento informativo volto a confermare l’integrità e lo stato del certificato in base ai dati presenti nei sistemi al momento della consultazione. I risultati di verifica possono non includere documenti in bozza, revocati, sospesi o non pubblici. In caso di contestazioni o necessità di conferma formale, l’utente deve contattare esclusivamente tramite i recapiti ufficiali.

6) Proprietà intellettuale

Contenuti, database domande, struttura dei test, layout, marchi, loghi, testi, materiali didattici e software sono protetti dalle norme su proprietà intellettuale e concorrenza. È vietata la copia sistematica, l’estrazione automatizzata, la redistribuzione o la pubblicazione (anche parziale) delle domande/risposte e dei contenuti, salvo autorizzazione scritta. È consentito l’uso personale della Piattaforma esclusivamente per sostenere i test e consultare i risultati, nel rispetto dei Termini e condizioni.

7) Esclusione di garanzie e limitazione di responsabilità

La Piattaforma e i relativi contenuti sono forniti “così come sono” e “come disponibili”. Pur adottando misure ragionevoli per garantire corretto funzionamento, sicurezza e aggiornamento dei contenuti, non si garantisce l’assenza di errori, l’esaustività delle informazioni, né la disponibilità continua o ininterrotta del servizio. Nei limiti massimi consentiti dalla legge applicabile, il gestore non è responsabile per danni diretti o indiretti derivanti dall’uso o dall’impossibilità d’uso della Piattaforma, inclusi, a titolo esemplificativo, perdita di dati, mancati profitti, interruzioni operative o danni consequenziali. Nulla esclude o limita responsabilità che non possano essere escluse per legge.

8) Link esterni

La Piattaforma può contenere collegamenti a siti o risorse di terzi. Tali link sono forniti per comodità e non implicano approvazione o controllo dei contenuti terzi. Il gestore non è responsabile per contenuti, disponibilità, policy o pratiche di siti terzi.

9) Trattamento dei dati personali (GDPR) — Sezione estesa

La presente sezione descrive, in modo strutturato e trasparente, come vengono trattati i dati personali degli utenti della Piattaforma. Per gli utenti nello Spazio Economico Europeo (SEE), il trattamento è improntato ai principi del Regolamento (UE) 2016/679 (“GDPR”), inclusi liceità, correttezza, trasparenza, minimizzazione, limitazione delle finalità, esattezza, limitazione della conservazione, integrità e riservatezza, nonché accountability. Per quanto applicabile, si considerano anche la normativa nazionale in materia di protezione dei dati (es. D.Lgs. 196/2003 come modificato) e le regole in materia di cookie/tecnologie similari (Direttiva ePrivacy e normative di recepimento).

9.1 Titolare del trattamento e contatti

Titolare del trattamento: Certification Body Certificato IWZ FZCO. Contatto privacy: privacy@certificatoiwz.org. DPO: non applicabile / non nominato (ove non richiesto). Per richieste privacy, utilizzare esclusivamente i canali ufficiali indicati.

9.2 Ambito del trattamento e servizi interessati

Questa informativa copre i trattamenti effettuati nell’ambito di CIWZ Academy, inclusi: creazione e gestione account; autenticazione e sicurezza (inclusa 2FA); erogazione dei test; gestione tentativi; calcolo punteggi, risultati e feedback; eventuale generazione e conservazione di certificati; verifica online dei certificati tramite codice/QR; logging di sicurezza; prevenzione frodi e anti-cheat; assistenza tecnica e gestione richieste.

9.3 Categorie di dati trattati

A seconda delle funzionalità utilizzate, possiamo trattare:

  • Dati identificativi e di contatto: nome, cognome, email; eventuali ulteriori dati inseriti volontariamente in profilo (es. telefono, indirizzo) se previsti.
  • Dati account e autenticazione: credenziali (in forma protetta), esiti verifica email, impostazioni 2FA.
  • Dati “di esame” e di utilizzo: corsi avviati, risposte, punteggi, esiti, tentativi, tempi di svolgimento, feedback.
  • Dati relativi a certificati (se previsti): identificativo univoco, metadati di emissione, informazioni necessarie alla verifica (es. stato del certificato).
  • Dati tecnici e di sicurezza: indirizzo IP, log accessi, eventi di sicurezza, informazioni minime su dispositivo/browser necessarie al funzionamento e alla prevenzione abusi.
La Piattaforma è progettata per minimizzare la raccolta: i dati facoltativi sono richiesti solo quando necessari per funzionalità specifiche (es. personalizzazione o emissione certificato, ove attiva).

9.4 Finalità e basi giuridiche (art. 6 GDPR)

Trattiamo i dati personali per le seguenti finalità, con le relative basi giuridiche:

  • Erogazione dei servizi della Piattaforma (registrazione, accesso, test, risultati, eventuale certificazione): esecuzione del contratto o misure precontrattuali (art. 6(1)(b) GDPR).
  • Sicurezza, prevenzione abusi/frodi, integrità dei test (anti-cheat, logging, rate limiting): legittimo interesse (art. 6(1)(f) GDPR) a proteggere la Piattaforma, gli utenti e l’attendibilità dei risultati.
  • Adempimento obblighi di legge e richieste delle autorità, ove applicabile: obbligo legale (art. 6(1)(c) GDPR).
  • Comunicazioni operative (es. verifica email, reset password, notifiche di sistema): art. 6(1)(b) GDPR e/o art. 6(1)(f) GDPR.
  • Miglioramento del servizio e reportistica interna: legittimo interesse (art. 6(1)(f) GDPR), preferendo metriche aggregate/anonimizzate; ove si usino cookie/analytics non tecnici, consenso (art. 6(1)(a) GDPR) quando richiesto.

9.5 Decisioni automatizzate e scoring

Il calcolo dei punteggi e la determinazione dell’esito del test possono essere automatizzati (correzione automatica). L’eventuale idoneità alla generazione di un certificato, se prevista, discende dal punteggio ottenuto e dalle regole configurate (soglia minima, tentativi consentiti, integrità d’esame). Ove applicabile, l’utente può richiedere chiarimenti sull’esito e segnalare anomalie attraverso i canali di assistenza, nei limiti tecnici e organizzativi del servizio.

9.6 Destinatari, responsabili del trattamento e accessi autorizzati

I dati possono essere trattati da personale autorizzato e da fornitori che operano come Responsabili del trattamento (art. 28 GDPR) o sub-responsabili, ad esempio: hosting/infrastruttura, servizi email per comunicazioni operative, strumenti tecnici per sicurezza e monitoraggio. Non vendiamo dati personali. L’accesso ai dati è limitato a quanto necessario e soggetto a controlli di autorizzazione e tracciamento.

9.7 Trasferimenti internazionali (extra SEE) e garanzie

Il Titolare ha sede negli Emirati Arabi Uniti. Qualora i dati di utenti SEE siano trattati o trasferiti verso Paesi extra SEE, adottiamo misure appropriate in linea con il GDPR, come: Clausole Contrattuali Standard (SCC) ove richiesto, valutazioni di impatto sui trasferimenti (TIA) quando applicabile, e misure tecniche e organizzative (cifratura, minimizzazione, controlli di accesso). È possibile richiedere informazioni aggiornate sulle garanzie applicate contattando il Titolare ai recapiti indicati.

9.8 Conservazione dei dati (retention)

Conserviamo i dati per il tempo strettamente necessario alle finalità indicate, applicando criteri di proporzionalità e minimizzazione. Indicazioni generali:

  • Account: per tutta la durata di attività dell’account; in caso di inattività prolungata possono essere avviate procedure di verifica e/o chiusura.
  • Test e risultati: per garantire storicità, limite tentativi, tracciabilità e gestione contestazioni; conservazione proporzionata alle finalità di attestazione.
  • Certificati e dati di verifica: per la durata della validità (se prevista) e per un periodo ulteriore ragionevole per consentire verifiche e gestire contestazioni o obblighi.
  • Log di sicurezza: per periodi limitati e proporzionati, necessari a prevenire abusi e ricostruire eventi di sicurezza.
I tempi effettivi possono variare per obblighi normativi, esigenze di sicurezza o difesa di diritti. In ogni caso, adottiamo criteri di limitazione della conservazione e cancellazione/anonimizzazione ove possibile.

9.9 Diritti dell’interessato e come esercitarli

Se applicabile (in particolare per utenti SEE), l’utente può esercitare i diritti previsti dagli artt. 15–22 GDPR: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione al trattamento basato su legittimo interesse, e revoca del consenso quando il trattamento si basa sul consenso. Per esercitare i diritti: scrivere a privacy@certificatoiwz.org. Rispondiamo nei termini previsti dalla normativa.

L’utente può inoltre proporre reclamo all’Autorità di controllo competente (in Italia: Garante per la protezione dei dati personali) o all’Autorità del proprio Stato membro UE, secondo quanto previsto dal GDPR.

9.10 Sicurezza e misure tecniche/organizzative

Adottiamo misure coerenti con il rischio, includendo, a titolo esemplificativo: cifratura in transito (HTTPS/TLS), hashing robusto delle password, verifica email e 2FA, limitazione tentativi, controlli antispam, logging e monitoraggio di sicurezza, gestione privilegi e accessi tracciati. Nessun sistema può essere considerato totalmente privo di rischi, ma l’obiettivo è ridurre probabilità e impatto di incidenti, e gestire eventi secondo procedure interne di sicurezza.

9.11 Cookie e tecnologie similari

La Piattaforma utilizza cookie tecnici e di sessione necessari al funzionamento (es. autenticazione, preferenze lingua, sicurezza). Se vengono introdotti cookie non tecnici (es. analytics/marketing), sarà fornita informativa dedicata e, ove richiesto, sarà richiesto il consenso secondo la normativa applicabile.

9.12 Minori

I servizi sono destinati a utenti professionali e/o maggiorenni. Se un minore ha fornito dati personali in assenza di un valido presupposto, contattare il Titolare per le opportune verifiche e la rimozione.

10) Legge applicabile e foro competente

Salvo norme inderogabili o diversa pattuizione in specifici accordi, per le attività e i rapporti riferibili all’Italia il foro competente è Venezia. Per le attività e i rapporti riferibili agli Emirati Arabi Uniti il foro competente è Dubai. Restano ferme le tutele inderogabili eventualmente previste dalla normativa applicabile.

11) Aggiornamenti

Le presenti Note legali possono essere aggiornate per adeguamenti normativi, tecnici o organizzativi. La versione pubblicata su questa pagina è quella applicabile al momento della consultazione.

Contents
  • 1) Scope and acceptance
  • 2) Service nature and limitations
  • 3) Account, authentication and security
  • 4) Exam integrity and fairness
  • 5) Certificates, results and verification
  • 6) Intellectual property
  • 7) No warranties and limitation of liability
  • 8) External links
  • 9) Personal data processing (GDPR) — Extended section
  • 10) Governing law and jurisdiction
  • 11) Updates

1) Scope and acceptance

This document (“Legal Notice”) governs access to and use of CIWZ Academy (the “Platform”), including content, online tests, result display, any certificate generation, and verification tools. By accessing or using the Platform, you confirm that you have read and understood this Legal Notice and accept it to the extent permitted by law. If you do not accept these terms, you should not use the Platform.

2) Service nature and limitations

The Platform is designed to measure and support self-assessment (or structured assessment) of competence on standards, schemes and topics related to auditing and management systems. Tests do not replace classroom training, hands-on experience, professional licensing, or any formal requirements under regulated schemes. Any results and/or certificates reflect the outcome of the test performed on the Platform under the applicable rules and do not, by themselves, constitute professional authorization.

3) Account, authentication and security

Access to certain features may require an account and email verification. The Platform may implement security measures such as two-factor authentication (2FA), login throttling, security logging, and anti-abuse controls. Users are responsible for safeguarding credentials and for all activity under their accounts. If unauthorized use is suspected, users should promptly secure the account (e.g., reset credentials) and/or contact support through the official channels.

4) Exam integrity and fairness

To protect result reliability and prevent abuse, the Platform may use exam integrity mechanisms (e.g., randomized questions/answers, technical anti-cheat signals, attempt limits, and fraud-prevention controls). Any attempt to circumvent integrity controls may lead to corrective measures, including account suspension/closure and result invalidation, to the extent permitted by law and the applicable Terms & Conditions.

5) Certificates, results and verification

Where enabled, certificate generation may be conditional upon reaching a minimum score and complying with Platform rules. Online verification (via code and/or QR) is provided as an informational tool to confirm integrity and status based on data available in the systems at the time of the query. Verification results may not include draft, revoked, suspended, or non-public records. For formal confirmation or disputes, users must contact the organization via the official channels.

6) Intellectual property

Content, question databases, test structure, layout, trademarks, logos, texts, training materials and software are protected by intellectual property and unfair competition laws. Systematic copying, automated extraction, redistribution or publication (even partially) of questions/answers or content is prohibited unless expressly authorized in writing. Personal use is permitted only for taking tests and viewing results, in accordance with the Terms & Conditions.

7) No warranties and limitation of liability

The Platform and its content are provided “as is” and “as available”. While reasonable efforts are made to ensure proper operation, security and content updates, no warranty is given that the Platform is error-free, complete, or continuously available. Service interruptions may occur for technical, security, compliance or operational reasons. To the maximum extent permitted by applicable law, the operator shall not be liable for any direct or indirect damages arising from the use of, or inability to use, the Platform, including (without limitation) data loss, lost profits, business interruption, or consequential damages. Nothing limits liability that cannot be excluded by law.

8) External links

The Platform may include links to third-party websites or resources. Such links are provided for convenience and do not imply endorsement or control of third-party content. The operator is not responsible for third-party content, availability, policies or practices.

9) Personal data processing (GDPR) — Extended section

This section explains, in a structured and transparent manner, how personal data is processed on the Platform. For users in the European Economic Area (EEA), processing is aligned with Regulation (EU) 2016/679 (“GDPR”), including principles of lawfulness, fairness and transparency, data minimisation, purpose limitation, accuracy, storage limitation, integrity and confidentiality, and accountability. Where relevant, applicable national data protection laws and cookie rules (ePrivacy Directive and implementing laws) are considered.

9.1 Controller and contact details

Data Controller: Certification Body Certificato IWZ FZCO. Privacy contact: privacy@certificatoiwz.org. DPO: not applicable / not appointed (where not required). Please use the official contact channels for privacy requests.

9.2 Processing scope and covered services

This notice covers processing activities related to CIWZ Academy, including: account creation and management; authentication and security (including 2FA); test delivery; attempt management; scoring, results and feedback; certificate generation and storage (where enabled); online certificate verification via code/QR; security logging; anti-fraud and anti-cheat; technical support and request handling.

9.3 Categories of personal data

Depending on the features used, we may process:

  • Identification and contact data: first name, last name, email; any additional profile data voluntarily provided (e.g., phone, address) where enabled.
  • Account and authentication data: credentials (securely stored), email verification status, 2FA settings.
  • Test and usage data: started courses, answers, scores, outcomes, attempts, timing, feedback.
  • Certificate-related data (where enabled): unique identifier, issuance metadata, verification-relevant information (e.g., certificate status).
  • Technical and security data: IP address, access logs, security events, minimal device/browser information necessary for functionality and abuse prevention.
The Platform is designed to apply data minimisation: optional fields are collected only when needed to deliver a specific feature (e.g., personalised certificate issuance where enabled).

9.4 Purposes and legal bases (Article 6 GDPR)

We process personal data for the following purposes and legal bases:

  • Provision of Platform services (registration, access, tests, results, certificate features where enabled): performance of a contract or pre-contractual steps (Art. 6(1)(b) GDPR).
  • Security, abuse/fraud prevention, test integrity (anti-cheat, logging, throttling): legitimate interests (Art. 6(1)(f) GDPR) to protect the Platform, users, and result reliability.
  • Compliance with legal obligations and authority requests (where applicable): legal obligation (Art. 6(1)(c) GDPR).
  • Operational communications (e.g., email verification, password reset, system notices): Art. 6(1)(b) GDPR and/or Art. 6(1)(f) GDPR.
  • Service improvement and internal reporting: legitimate interests (Art. 6(1)(f) GDPR), favouring aggregated/anonymous metrics; where non-essential cookies/analytics are used, consent (Art. 6(1)(a) GDPR) where required.

9.5 Automated scoring and decision-making

Scoring and test outcomes may be automated. Eligibility for certificate generation (where enabled) is determined by the achieved score and configured rules (e.g., minimum threshold, attempt limits, integrity checks). Where applicable, users may request clarifications and report anomalies via support channels, subject to the Platform’s technical and organisational constraints.

9.6 Recipients, processors and authorised access

Data may be processed by authorised personnel and by service providers acting as processors (Art. 28 GDPR) or sub-processors, such as hosting/infrastructure, email services for operational communications, and technical security/monitoring tools. We do not sell personal data. Access is restricted to what is necessary and governed by authorisation and logging controls.

9.7 International transfers (outside the EEA) and safeguards

The Controller is established in the United Arab Emirates. Where EEA users’ data is processed or transferred outside the EEA, we implement appropriate safeguards consistent with the GDPR, such as: Standard Contractual Clauses (SCCs) where required, Transfer Impact Assessments (TIAs) where applicable, and technical/organisational measures (encryption, minimisation, access controls). You may request updated information on the safeguards by contacting the Controller.

9.8 Data retention

We retain personal data only as long as necessary for the stated purposes, applying proportionality and minimisation. General guidance:

  • Account: for as long as the account remains active; prolonged inactivity may trigger verification and/or closure procedures.
  • Tests and results: to ensure history, attempt limits, traceability and dispute management; proportionate to attestation purposes.
  • Certificates and verification data: for the validity period (if applicable) and an additional reasonable period for verification and dispute handling, or legal obligations.
  • Security logs: for limited, proportionate periods needed for abuse prevention and security incident reconstruction.
Actual retention may vary due to legal obligations, security needs, or legal claims. Where feasible, we apply deletion or anonymisation.

9.9 Data subject rights and how to exercise them

Where applicable (especially for EEA users), you may exercise rights under Articles 15–22 GDPR: access, rectification, erasure, restriction, portability, objection to processing based on legitimate interests, and withdrawal of consent where processing is based on consent. To exercise your rights, email privacy@certificatoiwz.org. We respond within the timelines set by applicable law.

You may also lodge a complaint with your competent supervisory authority (in Italy: the Garante per la protezione dei dati personali) or your local EU supervisory authority, as provided by the GDPR.

9.10 Security measures

We implement security measures appropriate to the risk, including (by way of example): HTTPS/TLS in transit, strong password hashing, email verification and 2FA, throttling and anti-spam controls, security logging and monitoring, privilege management and audited access. No system is entirely risk-free, but our objective is to reduce the likelihood and impact of incidents and manage events under internal security procedures.

9.11 Cookies and similar technologies

The Platform uses technical/session cookies necessary for operation (e.g., authentication, language preferences, security). If non-essential cookies are introduced (e.g., analytics/marketing), we will provide a dedicated notice and collect consent where required under applicable law.

9.12 Children

The services are intended for professional and/or adult users. If a minor has provided personal data without a valid legal basis, please contact the Controller for appropriate checks and removal.

10) Governing law and jurisdiction

Unless mandatory rules or specific agreements provide otherwise, for matters and relationships attributable to Italy, the competent court is Venice. For matters and relationships attributable to the United Arab Emirates, the competent court is Dubai. Mandatory statutory protections remain unaffected.

11) Updates

This Legal Notice may be updated to reflect legal, technical or organisational changes. The version published on this page is the one applicable at the time of consultation.

2023-2026 CIWZ Academy
Privacy  ·  Terms & Conditions